第二讲 信息安全政策
转自:谷安论坛
这位信息中心主任所说的防病毒策略就是信息安全政策的一种。安全政策的制定与正确实施对组织的安全有着非常重要的作用,不仅能促进全体员工参与到保障组织信息安全的行动中来,而且能有效地降低由于人为因素所造成的对安全的损害。
ISO/IEC 17799:2005包含了133个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素。这133多个控制措施被分成11个方面,成为组织实施信息安全管理的实用指南,在所有这些领域中,信息安全政策是ISO17799中最重要的控制目标。
什么是信息安全政策?
信息安全政策从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划,其目的就是对组织中成员阐明如何使用组织中的信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应当承担什么样的责任,详细描述对员工的安全意识与技能要求,列出被组织禁止的行为。
ISO17799明确提出:管理层应当提出一套清晰的政策来指导信息安全实践,并且通过在组织内发布和维护信息安全政策来表明对信息安全的支持和承诺。
ISO17799标准中的英文“Policy”一词可以有两种解释:一个信息安全方针,另一个是具体的信息安全策略。
所谓信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件,用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。信息安全方针应当阐明管理层的承诺,提出组织管理信息安全的方法,并由管理层批准,采用适当的方法将方针传达给每一个员工。
具体的信息安全策略是在信息安全方针的框架内,根据风险评估的结果而制定的明确具体的管理风险的信息安全实施规则。下表列出一些常见的信息安全策略:
l人员审查策略
l清除桌面和清除屏幕策略
l电子邮件使用策略
l电子办公系统安全策略
l访问控制策略
l网络服务使用策略
l移动计算设施的安全策略
l远程工作策略
l使用密码控制技术策略
安全政策的内容与格式
信息安全政策通过为组织的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。安全政策应当目的明确、内容清楚,能广泛地被组织成员接受与遵守,而且要有足够的灵活性、适应性,能涵盖较大范围内的各种数据、活动和资源。建立了信息安全政策,就设置了组织的信息安全基础,可以使员工了解与自己相关的信息安全保护责任,强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。
安全方针属于高层管理文件,简要陈述信息安全宏观需求及管理承诺,应该篇幅短小,内容明确。信息安全方针应当简明、扼要,便于理解,至少应包括以下内容:
信息安全的定义,总体目标、范围,安全对信息共享的重要性
管理层意图、支持目标和信息安全原则的阐述。
信息安全控制的简要说明,以及依从法律、法规要求对组织的重要性。
信息安全管理的一般和具体责任定义,包括报告安全事故。
信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责,陈述组织的安全目标,为安全措施在组织的强制执行建立相关舆论与规则的基础,安全策略的格式如下表所示:
安全策略
1、目标
建立信息系统安全的总体目标,定义信息安全的管理结构和提出对组织成员的安全要求 。
信息安全策略必须有一定的透明度并得到高层管理层的支持,这种透明度和高层支持必须在安全策略中有明确和积极的反映。
信息安全策略要对所有员工强调“信息安全,人人有责”的原则,使员工了解自己的安全责任与义务。
2、范围
信息安全策略应当有足够的范围广度,包括组织的所有信息资源、设施、硬件、软件、信息、人员。在某些场合下,安全可以定义特殊的资产,比如:组织的主站点、各种重要装置和大型系统。此外,还应包括组织所有信息资源类型的综述,例如,工作站、局域网、单机等。
3、策略内容
根据ISO17799中定义,对信息安全策略的描述应该集中在三个方面:机密性、完整性和可用性,这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访问,其他非授权用户、或非授权方式不能访问。完整性就是保证信息必须是完整无缺的,信息不能被丢失、损坏,只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息,信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。
根据给定的环境,应当给员工明确描述与这些特性相关的信息安全要求,组织的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标,
例如,组织在维护大型但机密性要求并不高的数据库时,其安全目标主要是减少错误、数据丢失或数据破坏;如果组织对数据的机密性要求高时,安全目标的重点就会转移到防止数据的非授权泄露。
4、角色责任
信息安全策略除了要建立安全程序及程序管理职责外,还需要在组织中定义各种角色并分配责任,明确要求,比如:部分业务管理人员、应用系统所有者、数据用户、计算机系统安全小组等。
在某些情况下,信息安全策略中要理顺组织中的各种个体与团体的关系,以避免在履行各自的责任与义务时发生冲突。例如,要明确规定谁应该负责批准新系统所使用的安全措施,是相关业务部门的负责人,还是内部专职信息系统人员。如果可能的话,还应该由安全程序的负责人签署授权书。
5、执行纪律
没有一个正式的、文件化的安全策略,管理层不可能制定出惩戒执行标准与机制,信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。对于严重安全事件,例如:盗窃、内部破坏、密谋犯罪等行为全,要执行开除、起诉等惩戒措施;对于一般安全事件,例如:使用盗版软件,要执行相应的处罚条款。
还要考虑到有时员工违反安全策略并非是有意的,比如,由于缺乏必要的知识或训练,员工可能会有违规行为;有时也可能是对安全策略缺乏必要的了解造成的。对于这种情况,信息安全策略要预先采取措施,在合理的期限内,进行相关安全策略介绍和安全意识教育培训。
6、专业术语
对于信息安全策略中涉及的专业术语作必要的描述,使组织成员对策略的了解不会产生歧义。
7、版本历史
对策略版本在各个阶段的修订情况作出说明
信息安全政策通过为组织的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。安全政策应当目的明确、内容清楚,能广泛地被组织成员接受与遵守,而且要有足够的灵活性、适应性,能涵盖较大范围内的各种数据、活动和资源。建立了信息安全政策,就设置了组织的信息安全基础,可以使员工了解与自己相关的信息安全保护责任,强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。
安全方针属于高层管理文件,简要陈述信息安全宏观需求及管理承诺,应该篇幅短小,内容明确。信息安全方针应当简明、扼要,便于理解,至少应包括以下内容:
信息安全的定义,总体目标、范围,安全对信息共享的重要性
管理层意图、支持目标和信息安全原则的阐述。
信息安全控制的简要说明,以及依从法律、法规要求对组织的重要性。
信息安全管理的一般和具体责任定义,包括报告安全事故。
信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责,陈述组织的安全目标,为安全措施在组织的强制执行建立相关舆论与规则的基础,安全策略的格式如下表所示:
安全策略
1、目标
建立信息系统安全的总体目标,定义信息安全的管理结构和提出对组织成员的安全要求 。
信息安全策略必须有一定的透明度并得到高层管理层的支持,这种透明度和高层支持必须在安全策略中有明确和积极的反映。
信息安全策略要对所有员工强调“信息安全,人人有责”的原则,使员工了解自己的安全责任与义务。
2、范围
信息安全策略应当有足够的范围广度,包括组织的所有信息资源、设施、硬件、软件、信息、人员。在某些场合下,安全可以定义特殊的资产,比如:组织的主站点、各种重要装置和大型系统。此外,还应包括组织所有信息资源类型的综述,例如,工作站、局域网、单机等。
3、策略内容
根据ISO17799中定义,对信息安全策略的描述应该集中在三个方面:机密性、完整性和可用性,这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访问,其他非授权用户、或非授权方式不能访问。完整性就是保证信息必须是完整无缺的,信息不能被丢失、损坏,只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息,信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。
根据给定的环境,应当给员工明确描述与这些特性相关的信息安全要求,组织的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标,
例如,组织在维护大型但机密性要求并不高的数据库时,其安全目标主要是减少错误、数据丢失或数据破坏;如果组织对数据的机密性要求高时,安全目标的重点就会转移到防止数据的非授权泄露。
4、角色责任
信息安全策略除了要建立安全程序及程序管理职责外,还需要在组织中定义各种角色并分配责任,明确要求,比如:部分业务管理人员、应用系统所有者、数据用户、计算机系统安全小组等。
在某些情况下,信息安全策略中要理顺组织中的各种个体与团体的关系,以避免在履行各自的责任与义务时发生冲突。例如,要明确规定谁应该负责批准新系统所使用的安全措施,是相关业务部门的负责人,还是内部专职信息系统人员。如果可能的话,还应该由安全程序的负责人签署授权书。
5、执行纪律
没有一个正式的、文件化的安全策略,管理层不可能制定出惩戒执行标准与机制,信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。对于严重安全事件,例如:盗窃、内部破坏、密谋犯罪等行为全,要执行开除、起诉等惩戒措施;对于一般安全事件,例如:使用盗版软件,要执行相应的处罚条款。
还要考虑到有时员工违反安全策略并非是有意的,比如,由于缺乏必要的知识或训练,员工可能会有违规行为;有时也可能是对安全策略缺乏必要的了解造成的。对于这种情况,信息安全策略要预先采取措施,在合理的期限内,进行相关安全策略介绍和安全意识教育培训。
6、专业术语
对于信息安全策略中涉及的专业术语作必要的描述,使组织成员对策略的了解不会产生歧义。
7、版本历史
对策略版本在各个阶段的修订情况作出说明
信息安全政策的制定过程
(1) 理解组织业务特征和企业文化
充分了解组织业务特征是设计信息安全政策的前提,只有了解组织业务特征,才能发现并分析组织业务所处的风险环境,并在此基础上提出合理的、与组织业务目标相一致的安全保障措施,定义出技术与管理相结合的控制方法,从而制定有效的信息安全政策和程序。
(2) 得到管理层的明确支持与承诺
要制定一个好的信息安全政策,必须与决策层进行有效沟通,并得到组织高层领导的支持与承诺,这有三个作用,一是制定的信息安全政策与组织的业务目标一致;二是制定的安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻;三是可以得到有效的资源保证,比如在制定安全政策时必要的资金与人力资源的支持,及跨部门之间的协调问题都必须由高层管理人员来推动。
(3) 组建一个安全政策制定小组
安全政策制定小组应当由以下人员组成:
高级管理人员
信息安全管理人员
负责安全政策执行的管理人员
熟悉法律事务的人员
用户部门的人员
小组成员人数的多少视政策的规模与范围的大小而定,通常制定一个小规模的安全政策只需1-2人,要制定较大规模的安全政策可能需要5-10人。要具体指定政策的起草人、检查审阅人、测试用户,要确定政策由什么管理人员批准发布,由什么人员负责实施。
(4) 确定信息安全整体目标
描述信息安全宏观需求和要达到的目标。一个典型的目标是:通过防止和最小化安全事故的影响,保证业务持续性,并最小化业务损失,为企业的实现业务目标提供保障。
(5) 确定信息管理体系的范围
确定信息管理体系的范围后,组织需要根据自己的实际情况,可以在整个组织范围内、或者在个别部门或领域制定信息安全方针,因为范围不一样,方针的制定可能不一样。
(6) 风险评估与选择安全控制
组织信息安全管理现状调查与风险评估工作是建立具体的信息安全策略的基础与关键,在安全体系建立的整个过程中,风险评估工作占了很大的比例,风险评估的工作质量直接影响安全控制的合理选择和安全策略的完备制定。
(7) 起草拟订安全政策
根据前面风险评估与选择安全控制的结果,起草拟订安全政策,安全政策要尽可能地涵盖所有的风险和控制,没有涉及的内容要说明原因。
(8) 评估安全政策
安全政策被制订出来后,要进行充分的专家评估和用户测试,以评审安全政策的完备性、易用性,确定安全政策能否达到组织所需的安全目标。
(9) 安全政策的实施
安全政策通过测试评估后,需要由管理层正式批准实施。可以把安全方针与具体安全政策编制成组织信息安全政策手册,然后发布到组织中的每个员工与相关利益方,明确安全责任与义务。
(10) 政策的持续改进
安全政策制定实施后,并不能“高枕无忧”,组织要定期评审安全政策,并进行持续改进,因为组织所处的内外环境是不断变化的,组织的信息资产所面临的风险也是一个变数,组织中的人的思想、观念也在不断的变化,在这个不断变化的世界中,组织要想把风险控制在一个可以接受的范围内,要对控制措施及信息安全政策持续的改进,使之在理论上、标准上及方法上与时俱进。
(1) 理解组织业务特征和企业文化
充分了解组织业务特征是设计信息安全政策的前提,只有了解组织业务特征,才能发现并分析组织业务所处的风险环境,并在此基础上提出合理的、与组织业务目标相一致的安全保障措施,定义出技术与管理相结合的控制方法,从而制定有效的信息安全政策和程序。
(2) 得到管理层的明确支持与承诺
要制定一个好的信息安全政策,必须与决策层进行有效沟通,并得到组织高层领导的支持与承诺,这有三个作用,一是制定的信息安全政策与组织的业务目标一致;二是制定的安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻;三是可以得到有效的资源保证,比如在制定安全政策时必要的资金与人力资源的支持,及跨部门之间的协调问题都必须由高层管理人员来推动。
(3) 组建一个安全政策制定小组
安全政策制定小组应当由以下人员组成:
高级管理人员
信息安全管理人员
负责安全政策执行的管理人员
熟悉法律事务的人员
用户部门的人员
小组成员人数的多少视政策的规模与范围的大小而定,通常制定一个小规模的安全政策只需1-2人,要制定较大规模的安全政策可能需要5-10人。要具体指定政策的起草人、检查审阅人、测试用户,要确定政策由什么管理人员批准发布,由什么人员负责实施。
(4) 确定信息安全整体目标
描述信息安全宏观需求和要达到的目标。一个典型的目标是:通过防止和最小化安全事故的影响,保证业务持续性,并最小化业务损失,为企业的实现业务目标提供保障。
(5) 确定信息管理体系的范围
确定信息管理体系的范围后,组织需要根据自己的实际情况,可以在整个组织范围内、或者在个别部门或领域制定信息安全方针,因为范围不一样,方针的制定可能不一样。
(6) 风险评估与选择安全控制
组织信息安全管理现状调查与风险评估工作是建立具体的信息安全策略的基础与关键,在安全体系建立的整个过程中,风险评估工作占了很大的比例,风险评估的工作质量直接影响安全控制的合理选择和安全策略的完备制定。
(7) 起草拟订安全政策
根据前面风险评估与选择安全控制的结果,起草拟订安全政策,安全政策要尽可能地涵盖所有的风险和控制,没有涉及的内容要说明原因。
(8) 评估安全政策
安全政策被制订出来后,要进行充分的专家评估和用户测试,以评审安全政策的完备性、易用性,确定安全政策能否达到组织所需的安全目标。
(9) 安全政策的实施
安全政策通过测试评估后,需要由管理层正式批准实施。可以把安全方针与具体安全政策编制成组织信息安全政策手册,然后发布到组织中的每个员工与相关利益方,明确安全责任与义务。
(10) 政策的持续改进
安全政策制定实施后,并不能“高枕无忧”,组织要定期评审安全政策,并进行持续改进,因为组织所处的内外环境是不断变化的,组织的信息资产所面临的风险也是一个变数,组织中的人的思想、观念也在不断的变化,在这个不断变化的世界中,组织要想把风险控制在一个可以接受的范围内,要对控制措施及信息安全政策持续的改进,使之在理论上、标准上及方法上与时俱进。
案例:信息安全方针示例
文件名称:XXXX科技股份有限公司信息安全方针
编号:TFISM001
版次:1.0
机密等级:一般 □密 □机密 页次: 3 OF XXX
目 标:为保护本公司的相关信息资产,包括软硬件设施、数据、信息的安全,免于因外在的威胁或内部人员不当的管理遭受泄密、破坏或遗失等风险,特制订本政策,以供全体员工共同遵循。
宣传口号:“信息安全是赢得客户的基础,无破坏零损失是我们的终极目标”
“信息安全,人人有责”
信息安全要求:
信息安全管理委员会是公司信息安全管理的最高机构
信息资产应受适当的保护,以防止未经授权的不当存取;
应适当保护信息的机密性;
确保信息不会在传递的过程中,或因无意间的行为透露给未经授权的第三者;
应适当确保信息的完整性,以防止未经授权的窜改;
应适当确保信息的可用性,以确保使用者需求可以得到满足;
相关的信息安全措施或规范应符合现行法令的要求;
尽可能维护、测试企业的灾难恢复与业务持续性计划的可行性;
应依其职务、责任对全体员工进行信息安全适当的教育与培训;
所有信息安全意外事故或可疑的安全弱点,都应依循适当回报系统向上反应,予以适当调查、处理。
适用范围:
本信息安全管理方针适用于公司全体员工、业务合作伙伴、外聘人员及厂商委派支持本公司的工作人员等所有与信息资产相关的部门与人员。
责任划分:
本公司高层主管应适时复核、修订此方针,以确保该信息安全方针符合现行需求。
信息安全管理人员应透过适当程序落实此方针的要求。
全体员工、外聘人员及相关外部人员都有责任遵循此安全方针。
全体员工都有责任通过适当反馈系统,报告所发现的信息安全意外事故或信息安全弱点。任何危及信息安全的行为,都应诉诸适当的惩罚程序或法律行动。
复核:
此方针应由高层主管根据企业内外环境的变化,适当的予以修订、公告,以符合形势所需。
实施时间:
此方针自签发之日起,正式实施。
XXXX科技股份有限公司
总经理: 沈XX
200X年X月X日
文件名称:XXXX科技股份有限公司信息安全方针
编号:TFISM001
版次:1.0
机密等级:一般 □密 □机密 页次: 3 OF XXX
目 标:为保护本公司的相关信息资产,包括软硬件设施、数据、信息的安全,免于因外在的威胁或内部人员不当的管理遭受泄密、破坏或遗失等风险,特制订本政策,以供全体员工共同遵循。
宣传口号:“信息安全是赢得客户的基础,无破坏零损失是我们的终极目标”
“信息安全,人人有责”
信息安全要求:
信息安全管理委员会是公司信息安全管理的最高机构
信息资产应受适当的保护,以防止未经授权的不当存取;
应适当保护信息的机密性;
确保信息不会在传递的过程中,或因无意间的行为透露给未经授权的第三者;
应适当确保信息的完整性,以防止未经授权的窜改;
应适当确保信息的可用性,以确保使用者需求可以得到满足;
相关的信息安全措施或规范应符合现行法令的要求;
尽可能维护、测试企业的灾难恢复与业务持续性计划的可行性;
应依其职务、责任对全体员工进行信息安全适当的教育与培训;
所有信息安全意外事故或可疑的安全弱点,都应依循适当回报系统向上反应,予以适当调查、处理。
适用范围:
本信息安全管理方针适用于公司全体员工、业务合作伙伴、外聘人员及厂商委派支持本公司的工作人员等所有与信息资产相关的部门与人员。
责任划分:
本公司高层主管应适时复核、修订此方针,以确保该信息安全方针符合现行需求。
信息安全管理人员应透过适当程序落实此方针的要求。
全体员工、外聘人员及相关外部人员都有责任遵循此安全方针。
全体员工都有责任通过适当反馈系统,报告所发现的信息安全意外事故或信息安全弱点。任何危及信息安全的行为,都应诉诸适当的惩罚程序或法律行动。
复核:
此方针应由高层主管根据企业内外环境的变化,适当的予以修订、公告,以符合形势所需。
实施时间:
此方针自签发之日起,正式实施。
XXXX科技股份有限公司
总经理: 沈XX
200X年X月X日